1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. JPCERT/CCがEmotet感染有無を確認可能なツール「EmoCheck」を公開

JPCERT/CCがEmotet感染有無を確認可能なツール「EmoCheck」を公開

JPCERT/CCがEmotet感染有無を確認可能なツール「EmoCheck」を公開JPCERT/CCは2月3日、国内の複数の組織で相次いで注意喚起が発表されているEmotetの感染有無を確認することができるツール「EmoCheck」を公開した。

Emotetは、「感染端末内のメール情報や資格情報の流出」「流出情報の悪用と外部拡散」「感染端末を起点とした内部拡散」など、組織に深刻な被害をもたらす可能性があるマルウェアだ。実在する組織や人物になりすまし、過去にやり取りしたメール内容などの一部が流用された攻撃メールを送りつけるため、開封した人がだまされやすい(感染しやすい)特性がある。

こうした状況を受け、JPCERT/CCは、EmoCheckの公開に踏み切った。利用方法は、GitHub上で公開されている同ツールをダウンロードし、感染が疑われる端末へコピーする。

そして、コマンドプロンプトまたはPowerShellによってツールを実行すると、感染の有無がチェックできる。「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しており、「Emotetは検知されませんでした」と表示されていた場合には、Emotetに感染していないことが確認できる。

なお、JPCERT/CCでは、同ツールはコードサイニングを行っていないため、ツール実行時にダブルクリックすると、Windows Defender SmartScreen(Windows10に搭載されるセキュリティ機能)によりブロックされるとのことだ。そのため、コマンドプロンプトまたはPowerShellによって実行する必要がある。この問題は次リリース以降修正予定だという。

Releases · JPCERTCC/EmoCheck(GitHub)
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes(JPCERTコーディネーションセンター公式ブログ)
【セキュリティ ニュース】JPCERT/CC、「Emotet」感染チェックツール「EmoCheck」を公開(Security NEXT)
JPCERT/CC、Emotetの感染チェックツール「EmoCheck」を公開( INTERNET Watch)

日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

EmoCheck

Emotet

GitHub

JPCERT/CC

PowerShell

Windows

Windows Defender SmartScreen

コマンドプロンプト

コードサイニング

マルウエア

内部拡散

外部拡散

感染

攻撃メール

流出情報

関連記事